WebGLのセキュリティホールで異常事態になってる件

先月、 WebGLに関する深刻なセキュリティホールがアナウンスされていたのですが…。

3D表示規格の「WebGL」に深刻なセキュリティ問題、主要ブラウザに影響 - ITmedia ニュース

この機能、Firefox 4のβ7以降や、Google Chrome 9以降に実装されています。

実装方法が問題になっていますが、DoSなどの攻撃についてはOpenGL規格の拡張機能「GL_ARB_robustness」で対応済で、実装すれば回避できるとされています。(WebGLのベンダーの話)

一方マイクロソフトからは厳しいレポートが出ています。
WebGL仕様の脆弱性問題、Microsoftは「有害」と厳しい判断 | マイコミジャーナル

・すべてのセキュリティが、OEMドライバを含むシステムの下層レベルに依存し一部のビデオカードやプラットフォームでは、ハードウエアの機能がWeb側につつぬけになってしまう。
・WebGLの脆弱性にはWebGL APIではなく、OEMやIHV(independent hardware vendor)によって持ち込まれたシステムコンポーネントに問題が存在するケースが見られ、既存の脆弱性を修正する方法になり得ていない。
・ARB_robustnessやARB_robustness_2による対策が可能であるがWebサイトにシステムがフリーズまたは再起動させられる可能性を残しておくリスクが高い。

WebGLを無効にする方法がこちらに紹介されています。
セキュリティホール memo - 2011.05
・Firefox 4: about:config の webgl.disabled を true にする。
・Chrome: 起動オプションに --disable-webgl をつける。

Firefox5で対応するってことは、4では修正しないんですかね。Chromeは案内も無いですが。

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です